Charakterystyka cyberprzestępców jako całości jest dość obszernym tematem i stworzyłaby niewykonalną sytuację, gdybyśmy spróbowali rozwiązać problem charakteryzacji poprzez stworzenie jednej dużej miary zaprojektowanej tak, aby uwzględnić wszystkie możliwe dane. Wcześniejsze próby zrozumienia ogromnej ilości danych dotyczących przeciwników zakończyły się niepowodzeniem. Być może głównym powodem tego niepowodzenia jest po prostu tyle potencjalnie znaczących danych, które należy wziąć pod uwagę i tak wiele perspektyw, że niezwykle łatwo jest stracić koncentrację na danych, które mają znaczenie, a nawet na tym, co faktycznie próbujesz osiągnąć. Co my tu wszyscy robimy? Jaki jest wspólny cel, który nas łączy i jak to, co wymyśli jeden z nas, co na pierwszy rzut oka może odnosić się tylko do jego indywidualnych praktyk zawodowych, może pomóc drugiemu? Problem polega na tym, że ten sposób myślenia jest zdecydowanie zbyt wysoki; aby odpowiedzieć na te pytania, potrzebny jest niższy poziom myślenia. Odpowiedzi na te pytania powinny stać się oczywiste i są one dość proste. Pod koniec dnia, bez względu na to, czego użyjesz do charakteryzacji – czy osiągnąć wyższy poziom bezpieczeństwa podczas projektowania oprogramowania, aby uzyskać dokładniejszą ocenę zagrożeń sieciowych, w celu ulepszenia analizy incydentów lub wykrycia zagrożenia wewnętrznego – grupa, którą próbujemy scharakteryzować, pozostaje taka sama, a właściwości tej grupy pozostają takie same, a zatem zestaw wskaźników charakterystycznych wymaganych do oceny wspomnianych przeciwników / grup. Podsumowując, zestaw wskaźników do oceny indywidualnych właściwości przeciwnika oraz metodologia oceny znaczących relacji między tymi miernikami pomogłyby w charakteryzacji w prawie każdych okolicznościach. Niektóre z problemów napotkanych przy próbach radzenia sobie z danymi kontradyktoryjnymi na inne sposoby omówiono w kolejnych sekcjach.
Duże ilości danych
Podczas próby ukończenia charakteryzacji należy lub przynajmniej można wziąć pod uwagę ogromne ilości danych dotyczących przeciwników. Często wiele z tych danych w swojej surowej postaci jest mało przydatnych dla osoby próbującej wykonać charakterystykę i robi niewiele więcej niż prezentowanie się jako „biały szum” wokół danych, które w rzeczywistości coś znaczą. Ze względu na często duże ilości danych, dane muszą być kategoryzowane i przypisywane właściwościom przeciwnika, abyśmy mieli szansę je zrozumieć, a gdybyśmy podjęli próbę jakiejkolwiek szczegółowej charakterystyki, duże ilości danych uniemożliwiłyby to bez takiej metodologii.
Kwestie istotności danych
Niektóre rodzaje danych charakteryzujących mają często znaczenie tylko w określonych przypadkach. Rzeczywiście, dostępne dane dotyczące podmiotu będą się różnić w zależności od przypadku. Z tego powodu użycie jednej miary i brak metodologii w celu rozbicia indywidualnych właściwości przeciwnika prawdopodobnie spowodowałoby, że pewna ilość danych podmiotu nie miałaby związku z twoją sytuacją, potencjalnie wypaczając ostateczny wynik. Na przykład podczas charakteryzowania teoretycznego typu przeciwnika na potrzeby oceny zagrożenia mogą nie być dostępne żadne dane kryminalistyczne z rzeczywistego ataku, ponieważ nie wystąpił żaden incydent. Ponieważ pojedyncza metryka charakteryzacji musiałaby uwzględniać dane incydentu kryminalistycznego, spowodowałoby to pozostawienie czarnej dziury w środku metryki, ponieważ zależność metryki nie została spełniona. Co więcej, przewidywanie rodzaju danych kryminalistycznych, które mogą być dostępne, byłoby trudnym zadaniem. Jak już powiedzieliśmy, wiele danych, które należy wziąć pod uwagę w celu dokładnego scharakteryzowania, jest często mało przydatnych w ich surowej postaci – innymi słowy, bez żadnych badań pomocniczych lub miernika oceny danych, aby nadać im pewne znaczenie. Na nasze potrzeby tego typu dane nazywamy danymi analogowymi. Przykładem takich danych analogowych jest próba profilowania osoby poprzez system operacyjny, z którego korzysta. Chociaż te informacje mogą być przydatne same w sobie, bez oceny danych lub dodatkowych danych badawczych, są one mało przydatne.
Ponieważ mamy tu do czynienia z profilowaniem prawdziwych ludzi, a nie sztucznych sieci neuronowych, wszystkie dane związane z właściwościami przeciwnika są zwykle analogowe. Typy „danych cyfrowych” są prawie zawsze spotykane podczas przetwarzania danych analogowych za pomocą metryki oceny pewnego rodzaju danych . Na przykład stawiamy hipotezę, że poprzez ocenę narzędzi, których atakujący używa, próbując naruszyć system (typ danych analogowych) za pomocą metryki charakteryzacyjnej, powstaje „wynik” typu całkowitego, który może być reprezentatywny dla zagrożenie, jakie jednostka stwarza dla określonego zasobu – a nawet poziomu umiejętności. Niezależnie od tego, czy ta ocena jest prawdziwa, czy nie, chodzi o to, aby dowolne dwa wyniki „cyfrowe” były ze sobą bezpośrednio porównywalne; gdzie nie są to dane analogowe, od których zaczynaliśmy, co wzmacnia argumenty przemawiające za stosowaniem wielu metryk do oceny różnych właściwości cyberprzestępcy, zamiast próbować rozwiązać problem jako całość.